محققان امنیتی سایبری یک آسیبپذیری جدید روز صفر را در Adobe Flash Player کشف کردهاند که مهاجمان بهطورجدی و در سطح اینترنت از آن بهرهبرداری کردند و یک کمپین هدفمند نیز مشاهده شده است که به نظر میرسد به یک موسسه بهداشتی درمانی در روسیه حمله کرده است.
این آسیبپذیری که بهعنوان CVE-2018-15982 نامگذاری شده است، یک نقصِ use-after-free در Flash Player است که اگر با موفقیت بهرهبرداری شود، به یک مهاجم اجازه میدهد تا یک کد دلخواه را بر روی کامپیوتر هدف اجرا کند و درنهایت کنترل کامل سیستم را به دست آورد.
بهرهبردار روز صفر اخیراً کشفشده در Flash Player، هفته گذشته و توسط محققان در داخل اسناد موذی مایکروسافت آفیس مشاهده شد که به سرویس جستجوی دژافزار چند موتورهی آنلاین VirusTotal و از یک IP در اکراین ارسال شده بود.
اسناد موذی مایکروسافت آفیس حاوی یک کنترل Flash Active X جاسازیشده در هِدرشان هستند که هنگامیکه کاربر هدف آن را باز میکند، اجراشده و باعث بهرهبرداری از این آسیبپذیری گزارششدهی Flash Player میشود.
به گفته محققان امنیتی سایبری، نه فایل مایکروسافت آفیس (۲۲٫docx) و نه بهرهبردار Flash (درون آن) بهتنهایی حاوی payload نهایی برای کنترل سیستم نیستند.
در عوض، payload نهایی در داخل یک فایل تصویری (scan042.jpg) پنهان میشود، که خود یک فایل بایگانی است که همراه فایلِ مایکروسافت آفیس درون یک آرشیو اولیه WinRAR بسته بندی شده است و سپس توسط پستهای الکترونیک spear-phishing توزیع میشود، همانطور که در ویدیوی زیر نشان داده شده است [۱].
پس از باز کردن این سند، بهرهبردار Flash یک دستور را روی سیستم اجرا میکند تا فایل تصویر را extract کند و payload نهایی (یعنی backup.exe) اجرا شود که توسط VMProtect محافظت شده است و برنامهریزیشده یک در پشتی را نصب کند که دارای این قابلیتهاست:
- نظارت بر فعالیتهای کاربر (صفحهکلید یا حرکت ماوس)
- جمعآوری اطلاعات سیستم و ارسال آن به سرور فرمان و کنترل از راه دور
- اجرای shellcode
- بارگیری PE در حافظه
- دانلود فایلها
- اجرای کد
- داشتن قابلیت خود تخریبی
محققان از Gigamon Applied Threat Research و شرکت امنیت سایبری چینی Qihoo 360 Core Security، که این کمپین را کشف کردهاند [۲و۳] و آن را Operation Poison Needles نامیدهاند، این حمله را به هیچیک از گروههای هکری حمایتشده توسط دولت مرتبط ندانستهاند.
بااینحال، ازآنجاییکه اسناد موذی ساختهشده بهعنوان یک درخواست استخدام برای یک کلینیک مراقبتهای بهداشتی دولتی روسیه ارسال شده است که به اداره ریاست جمهوری روسیه وابسته است و از یک IP در اکراین روی VirusTotal بارگذاری شده است، محققان معتقدند این حمله میتواند با توجه به مسائل سیاسی بین این دو کشور و توسط اکراینیها انجام شده باشد.
این آسیبپذیری بر روی نسخه ۳۱٫۰٫۰٫۱۵۲ و قدیمیتر برنامهAdobe Flash Player تأثیرگذار است و بر روی محصولاتی مانند Flash Player Desktop Runtime و Flash Player برای Google Chrome، Microsoft Edge و Internet Explorer 11 تأثیر میگذارد. نسخههای ۳۱٫۰٫۰٫۱۰۸ برنامه Adobe Flash Player Installer و قبل از آن نیز تحت تأثیر قرار گرفتهاند.
محققان این بهرهبردار روز صفر Flash را به Adobe در تاریخ ۲۹ نوامبر ۲۰۱۸ گزارش دادند و سپس این شرکت این موضوع را اطلاعرسانی کرده و نسخههای بهروزرسانی شدهی Adobe Flash Player یعنی نسخه ۳۲٫۰٫۰٫۱۰۱ برای ویندوز، macOS، لینوکس و سیستمعامل کروم و Adobe Flash Player Installer نسخه ۳۱٫۰٫۰٫۱۲۲ را ارائه کرد [۴].
این بهروزرسانیهای امنیتی شامل یک وصله برای نقص روز صفر گزارش شده است، همراه با یک اصلاح برای یک آسیبپذیری مهم سرقت DLL یعنی CVE-2018-1598، که میتواند مهاجمان را قادر به بالا بردن سطح اختیارات از طریق Flash Player و بارگیری DLL های مخرب کند.
منابع
[۱] https://youtu.be/4OYQyLSVDlU
[۲] https://atr-blog.gigamon.com/2018/12/05/adobe-flash-zero-day-exploited-in-the-wild
[۳] http://blogs.360.cn/post/PoisonNeedles_CVE-2018-15982_EN
[۴] https://helpx.adobe.com/security/products/flash-player/apsb18-42.html
[۵] https://thehackernews.com/2018/12/flash-player-vulnerability.html
ثبت ديدگاه